我在多模块项目中使用Maven Plugin的OWASP Dependency Check。
有一个模块包含artifactId
“链接”和另一个(我称之为“war”)模块,该模块依赖于此模块。两者都有groupId
“de.mygroup”。
当我现在运行mvn dependency-check-maven:check
时,我收到以下警告:
links-5.0.0-SNAPSHOT.jar (cpe:/a:hot_links:hot_links:5.0.0, cpe:/a:links:links:5.0.0, de.mygroup:links:5.0.0-SNAPSHOT) : CVE-2006-7086
正如我理解这个警告,这是误报,因为依赖性检查只查找artifactId
而不管groupId
。这是对的吗?
我能做些什么来告诉插件我正在使用哪一个?但我认为它应该自动确定。
我查看了maven插件的源代码并在BaseDependencyCheckMojo.java:652
中找到了dependencyNode.getArtifact().getId()
但是这应该返回工件的完整的quallified坐标。所以我不明白为什么它会找到多个“候选人”然后用来搜索漏洞。
有什么建议吗?
编辑:我刚刚使用当前的master
from GitHub进行了测试,因为我已经看到确定依赖项时会有一些变化。上面的警告现在消失了。
但我有第三个模块artifactId
“indesign”(以及groupId
“de.mygroup”)为此,我得到了这个警告:
indesign-5.0.0-SNAPSHOT.jar (cpe:/a:adobe:indesign:5.0.0, de.mygroup:indesign:5.0.0-SNAPSHOT) : CVE-2006-0525
我认为这是同样的问题,但我不明白为什么第一个警告消失了,第二个警告仍在那里。